Crypter les volumes LVM avec LUKS

Crypter les volumes LVM avec LUKS
Le chiffrement des volumes logiques est l'une des meilleures solutions pour sécuriser les données au repos. Il existe de nombreuses autres méthodes de chiffrement des données, mais LUKS est le meilleur car il effectue un cryptage tout en travaillant au niveau du noyau. La configuration de la clé Unified Luks ou Linux est la procédure standard pour crypter les disques durs sur Linux.

Généralement, différentes partitions sont créées sur un disque dur et chaque partition doit être cryptée en utilisant différentes clés. De cette façon, vous devez gérer plusieurs clés pour différentes partitions. Les volumes LVM cryptés avec LUKS résolvent le problème de la gestion des clés multiples. Tout d'abord, l'ensemble du disque dur est crypté avec LUKS, puis ce disque dur peut être utilisé comme volume physique. Le guide démontre le processus de chiffrement avec LUKS en suivant les étapes données:

  1. Installation du package cryptsetup
  2. Encryption de disque dur avec LUKS
  3. Création de volumes logiques chiffrés
  4. Modification de la phrase secrète de chiffrement

Installation du package cryptsetup

Afin de crypter les volumes LVM avec LUKS, installez les packages requis comme suit:

ubuntu @ ubuntu: ~ $ sudo apt install cryptsetup -y

Maintenant, chargez les modules du noyau utilisés pour gérer le cryptage.

ubuntu @ ubuntu: ~ $ sudo modprobe dm-crypt

Crypter le disque dur avec Luks

La première étape pour crypter les volumes avec LUKS est d'identifier le disque dur sur lequel LVM va être créé. Affichez tous les disques durs du système en utilisant le lsblk commande.

ubuntu @ ubuntu: ~ $ sudo lsblk

Actuellement, il y a trois disques durs attachés au système qui sont / dev / sda, / dev / sdb et / dev / sdc. Pour ce tutoriel, nous utiliserons le / dev / sdc disque dur pour crypter avec Luks. Créez d'abord une partition LUKS en utilisant la commande suivante.

ubuntu @ ubuntu: ~ $ sudo cryptsetup luksformat --hash = sha512 --key-size = 512 --cipher = aes-xts-plain64 --verify-passphrase / dev / sdc

Il demandera la confirmation et une phrase secrète pour créer une partition LUKS. Pour l'instant, vous pouvez saisir une phrase secrète qui n'est pas très sûre car cela ne sera utilisé que pour la génération de données aléatoires.

NOTE: Avant d'appliquer la commande ci-dessus, assurez-vous qu'il n'y a pas de données importantes dans le disque dur car il nettoiera le lecteur sans chances de récupération de données.

Après le cryptage du disque dur, ouvrez-le et mappez-le comme crypte_sdc Utilisation de la commande suivante:

ubuntu @ ubuntu: ~ $ sudo cryptsetup luksopen / dev / sdc crypt_sdc

Il demandera à la phrase secrète pour ouvrir le disque dur chiffré. Utilisez la phrase secrète pour chiffrer le disque dur à l'étape précédente:

Répertoriez tous les périphériques connectés du système à l'aide du lsblk commande. Le type de partition cryptée cartographiée apparaîtra comme le crypte au lieu de partie.

ubuntu @ ubuntu: ~ $ sudo lsblk

Après avoir ouvert la partition LUKS, remplissez maintenant le périphérique mappé avec des 0 à l'aide de la commande suivante:

ubuntu @ ubuntu: ~ $ sudo dd if = / dev / zero de = / dev / mapper / crypt_sdc bs = 1m

Cette commande remplira le disque dur complet avec 0. Utilisez le hexdume commande pour lire le disque dur:

Ubuntu @ Ubuntu: ~ $ sudo hexdump / dev / sdc | plus

Fermer et détruire la cartographie du crypte_sdc Utilisation de la commande suivante:

ubuntu @ ubuntu: ~ $ sudo cryptsetup luksclose crypt_sdc

Remplacez l'en-tête du disque dur avec des données aléatoires à l'aide du dd commande.

ubuntu @ ubuntu: ~ $ sudo dd if = / dev / urandom de = / dev / sdc bs = 512 count = 20480 status = progress

Maintenant, notre disque dur est plein de données aléatoires et elle est prête à être cryptée. Encore une fois, créez une partition Luks en utilisant le luksformat Méthode de la cryptsetup outil.

ubuntu @ ubuntu: ~ $ sudo cryptsetup luksformat --hash = sha512 --key-size = 512 --cipher = aes-xts-plain64 --verify-passphrase / dev / sdc

Pour ce temps, utilisez une phrase secrète sécurisée car elle sera utilisée pour déverrouiller le disque dur.

Encore une fois, mappez le disque dur chiffré comme crypte_sdc:

ubuntu @ ubuntu: ~ $ sudo cryptsetup luksopen / dev / sdc crypt_sdc

Création de volumes logiques chiffrés

Jusqu'à présent, nous avons chiffré le disque dur et l'avons cartographié comme crypte_sdc sur le système. Maintenant, nous allons créer des volumes logiques sur le disque dur chiffré. Tout d'abord, utilisez le disque dur chiffré comme volume physique.

ubuntu @ ubuntu: ~ $ sudo pvcreate / dev / mapper / crypt_sdc

Lors de la création du volume physique, le lecteur cible doit être le disque dur mappé I.e / dev / mapper / crypte_sdc dans ce cas.

Répertoriez tous les volumes physiques disponibles en utilisant le PVS commande.

ubuntu @ ubuntu: ~ $ sudo pvs

Le volume physique nouvellement créé à partir du disque dur chiffré est nommé comme / dev / mapper / crypte_sdc:

Maintenant, créez le groupe de volumes VGE01 qui couvrera le volume physique créé à l'étape précédente.

ubuntu @ ubuntu: ~ $ sudo vgcreate vge01 / dev / mapper / crypt_sdc

Répertoriez tous les groupes de volumes disponibles sur le système à l'aide du vgs commande.

ubuntu @ ubuntu: ~ $ sudo vgs

Le groupe de volumes VGE01 s'étend sur un volume physique et la taille totale du groupe de volumes est de 30 Go.

Après avoir créé le groupe de volumes VGE01, Créez maintenant autant de volumes logiques que vous le souhaitez. Généralement, quatre volumes logiques sont créés pour racine, échanger, maison et données partitions. Ce tutoriel ne crée qu'un seul volume logique pour la démonstration.

ubuntu @ ubuntu: ~ $ sudo lvcreate -n lv00_main -l 5g vge01

Répertoriez tous les volumes logiques existants à l'aide du LVS commande.

ubuntu @ ubuntu: ~ $ sudo lvs

Il n'y a qu'un seul volume logique lv00_main qui est créé à l'étape précédente avec une taille de 5 Go.

Modification de la phrase secrète de chiffrement

La rotation de la phrase secrète du disque dur chiffré est l'une des meilleures pratiques pour sécuriser les données. La phrase secrète du disque dur chiffré peut être modifiée en utilisant le lukschangekey Méthode de la cryptsetup outil.

ubuntu @ ubuntu: ~ $ sudo cryptsetup lukschangekey / dev / sdc

Tout en modifiant la phrase secrète du disque dur crypté, le lecteur cible est le disque dur réel au lieu du lecteur de mapper. Avant de changer la phrase secrète, il demandera l'ancienne phrase de passe.

Conclusion

Les données au repos peuvent être sécurisées en chiffrant les volumes logiques. Les volumes logiques offrent une flexibilité pour étendre la taille du volume sans aucun temps d'arrêt et crypter les volumes logiques sécurisent les données stockées. Ce blog explique toutes les étapes nécessaires pour crypter le disque dur avec Luks. Les volumes logiques peuvent alors être créés sur le disque dur qui sont automatiquement cryptés.